fbpx

Каталог статей

Каталог статей для размещения статей информационного характера

Технології

Огляд сервісів TCP/IP для маршрутизаторів фірми Cisco

У цій статті перерахуємо основні директиви управління для сервісів
TCP/IP в роутерах Cisco. Дані команди вірні для маршрутизаторів Cisco
800 Series [1], Cisco 1800 Series [2], Cisco 1900 Series [3], Cisco 2900 Series і більшості інших
no service tcp-small-servers –
Закриває доступ до деяких сервісів TCP, які дозволяють хостам мережі
робити запити Chargen, Echo, Daytime і Discard для портів. За
замовчуванням усі сервери TCP для сервісів Chargen, Echo, Daytime і Discard
активні. Якщо їх виключити, то на відповідний запит для порту
CISCO IOS у відповідь відправить TCP-пакет “RESET” і відмовиться обробляти
надійшов пакет даних.
no service udp-small-servers –
Закриває доступ до деяких сервісів UDP, які дозволяють ущлам мережі
робити запити Chargen, Echo, Daytime і Discard для портів. За замовчуванням
сервери UDP в частині сервісів Echo, Discard, Chargen і Daytime
активизированны. всі сервери UDP для сервісів Chargen, Echo, Daytime і
Discard активні.
Якщо їх виключити, то на відповідний запит для порту ПО CISCO IOS
відповідь відправить UDP-пакет “RESET” і відмовиться обробляти надійшов
пакет даних.
no service finger – Вимикає
запити для finger-протоколу (який визначено в RFC 742) методом
блокування запитів віддалених користувачів мережі.
no ip domain-lookup – Забороняє
трансляцію імен DNS в маршрутизаторі периметра для окремої IP-адреси.
no ip source-route – Вимикає
від джерела IP-маршрутизацію.
no ip tcp selective-ack –
Вимикає вибіркове (селективне) підтвердження TCP (див. у RFC
2018)
no ip bootp server – Вимикає
BOOTP-сервіс (протокол стартовою самозавантаження (Bootstrap Protocol)) в
хості.
no mop enable – Вимикає роботу
протоколу MOP (Maintenance Operation Protocol –
протокол операцій супроводу); крім того, застосовується до конкретного
інтерфейсу.
no cdp run – Вимикає Cisco
Dicovery Protocol.
no ip rsh-enable – Конфігурує
маршрутизатор так, що віддаленим користувачам неможливо виконувати
команди rsh на даному пристрої.
no ip rcmd rep-enable –
Конфігурує маршрутизатор так, що віддаленим користувачам неможливо
копіювати файли в маршрутизатор і з нього за допомогою команди rcp.
no ip id користувача – Вимикає
підтримку ідентифікації, це блокує повернення інформації, яка
ідентифікує TCP-порт.
no ip proxy-arp – Вимикає
проксі-послугу ARP (Address Resolution Protocol – протокол дозволу
адрес) для зазначеного інтерфейсу.
no ip redirects – Вимикає
відправлення повідомлень з командою перенаправлення, коли кошти Cisco
IOS SOFTWARE переотправляют цей пакет у рамках інтерфейсу, за яким
він отриманий. Обмежує дані, що посилаються при маршрутизатором
сканування портів.
no ip tcp path-mtu-dicovery –
Вимикає сервіс Path MTU Discovery для всіх майбутніх з’єднань TCP для
маршрутизатора цього інтерфейсу. Відсутність такої заборони
збільшує ймовірність успішних атак, пов’язаних з блокуванням сервісу.
no ip unreachable – Вимикає
генерацію повідомлень ICMP Unreachable для цього інтерфейсу.
no ip route-cache – Вимикає
кешування даних автономної комутації та/або швидкої комутації для
маршрутизації IP.
no ip mroute-cache – (Активний
промовчанням.) Вимикає групову швидку комутацію IP, відправляючи пакети
на рівні процесу. Необхідний для обробки списків доступу і
збереження повідомлень налагодження.
no cdp enable – Вимикає CDP
(Cisco Discovery Protocol) для цього інтерфейсу.
no ip directed-broadcast –
(Активний за замовчуванням.) Вимикає керовану групову розсилку IP, що
забезпечує заборону використання маршрутизатора як широкомовного
підсилювача при атаках, які мають на меті блокувати сервіс.
[1] Каталог
Cisco 800 Series
[2] Каталог Cisco 1800 Series
[3] Каталог Cisco
1900 Series
Джерело: Cisco.com